SICUREZZA DIGITALE

Accesso civico, trasparenza vs privacy: l’eccezione e la regola

La “PA di vetro” è centrale per una governance al servizio del cittadino. Ma il via libera all’acquisizione di documenti e dati pubblici non è scontato: la disclosure può bloccarsi di fronte a esigenze di riservatezza. Ecco tutti i passaggi per una corretta valutazione caso per caso

23 Mar 2020
Manuel Salvi

DPO GRC Team


L’Accesso Civico è una delle questioni più spinose nella Pubblica amministrazione con due normative dagli obiettivi divergenti, che si trovano a collidere. Analizziamo come trasparenza e privacy possono bilanciarsi nell’attuazione di questo diritto.

Chi vince fra trasparenza e privacy?

In tema di accesso civico nella battaglia tra Trasparenza e Privacy, la domanda che sovente mi viene chiesta, da solerti impiegati pubblici, è: “Chi vince?”. La risposta apparentemente semplice, che mi capita di dare è: La Trasparenza è la regola, la Privacy è l’eccezione.

Il Decreto Trasparenza, così come la “Linea Guida Recanti indicazioni operative ai fine della definizione delle esclusioni e dei limiti all’accesso civico di all’art. 5 comma 2 del D.Lgs. 33/2013” non rende certo le cose semplici. Purtroppo in termini di Trasparenza nulla è semplice.

Non vi è un prontuario che chiarifica quando dare luce verde all’Accesso agli atti e quando invece negarlo. A dimostrazione di questa mia affermazione basti guardare la pagina preposta sul sito del Garante con l’elenco “Istanze di Accesso civico – I pareri del garante”.

Ogni qualvolta vi sarà un accesso civico l’amministrazione in questione dovrà svolgere una valutazione caso per caso per valutare se prevalga il diritto di trasparenza oppure il diritto di privacy.

Entrando nel merito con il D.Lgs. 33/2013 la trasparenza dell’attività amministrativa e la conoscibilità generalizzata degli atti è divenuta la regola, temperata solo dalla previsione di limiti posti a tutela di interessi (pubblici e privati) ed eccezioni, che possono essere lesi/pregiudicati dalla rivelazione di talune informazioni.

I diversi tipi di accesso

Per chiarire è necessario prima comprendere le diverse tipologie di accesso. L’accesso civico si distingue in Accesso Documentale (disciplinato dal capo V della legge 241/1990), Accesso civico semplice (D.Lgs. 33/2013, modificato dal d.lgs. 97/2016, art. 5, comma 1 – Decreto trasparenza) e Accesso Generalizzato ((D.Lgs. 33/2013, modificato dal d.lgs. 97/2016, art. 5, comma 2 – Decreto trasparenza).

L’Accesso documentale è volto a un “interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso”. Esempio: Si necessita di un documento specifico per difendersi in giudizio.

L’Accesso civico semplice rimane circoscritto ai soli atti, documenti e informazioni oggetto di obblighi di pubblicazione e costituisce un rimedio alla mancata osservanza degli obblighi di pubblicazione imposti dalla legge. Esempio: A seguito della mancata pubblicazione di un atto, si richiede all’ente di porvi rimedio.

L’Accesso generalizzato: “chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi pubblici e privati giuridicamente rilevanti, secondo quanto previsto dall’art. 5-bis”. Esempio: E’ quando si richiede di accedere a un qualsiasi atto nell’Amministrazione Pubblica anche senza motivazione.

La regola della generale accessibilità è temperata dalla previsione di eccezioni poste a tutela di interessi pubblici e privati, che possono subire un pregiudizio dalla diffusione generalizzata di talune informazioni.

I limiti a tutela di interessi privati

Ogni qualvolta la richiesta di accesso collida con un interesse privato l’amministrazione dovrà valutare bilanciando, caso per caso, tra l’interesse pubblico alla disclosure generalizzata e la tutela di altrettanto validi interessi privati considerati dall’ordinamento. L’amministrazione, cioè, è tenuta a verificare, una volta accertata l’assenza di eccezioni assolute, se l’ostensione degli atti possa determinare un pregiudizio concreto e probabile agli interessi indicati dal legislatore.

Gli interessi privati da tutelare sono:

  • protezione dei dati personali
  • libertà e segretezza della corrispondenza
  • interessi economici e commerciali di una persona fisica o giuridica, ivi compresi proprietà intellettuale, diritto d’autore e segreti commerciali

Affinché l’accesso possa essere rifiutato, il pregiudizio deve essere concreto e quindi deve sussistere un preciso nesso di causalità tra l’accesso e il pregiudizio. L’amministrazione dovrà:

  • indicare chiaramente quale interesse viene pregiudicato;
  • valutare se il pregiudizio (concreto) dipende direttamente dalla disclosure dell’informazione richiesta;
  • valutare se il pregiudizio è un evento altamente probabile, e non soltanto possibile.

L’amministrazione dovrà consentire l’accesso parziale utilizzando ad esempio l’oscuramento dei soli dati, pregiudizievoli per l’interessato (art. 5-bis, comma 4, secondo alinea). La risposta negativa o parziale dovrà fornire motivazioni congrue e complete.

Ovviamente vi è la possibilità di chiedere il riesame della decisione sia per coloro che si sono visto negato l’accesso, sia per coloro che ritengono l’accesso abbia leso i propri interessi.

La richiesta è rivolta al Responsabile della prevenzione della corruzione e della trasparenza, il quale può richiedere un parere al Garante. L’esito della richiesta sarà emessa con provvedimento motivato, entro il termine di venti giorni (più dieci se vi è richiesta di parere al Garante).

Protezione dei dati personali

LIVE STREAMING 11 GIUGNO
Security Intelligence: investire in sicurezza per prevenire i rischi
Intelligenza Artificiale
Sicurezza

Qualora un istanza di accesso generalizzato abbia a oggetto dati e documenti relativi a (o contenenti) dati personali, l’ente destinatario dell’istanza dovrà valutare se la conoscenza da parte di chiunque del dato personale richiesto arrechi (o possa arrecare) un pregiudizio concreto alla protezione dei dati personali, in conformità alla disciplina legislativa in materia. La ritenuta sussistenza di tale pregiudizio comporterà il rigetto dell’istanza, a meno che non si consideri di poterla accogliere, oscurando i dati personali eventualmente presenti e le altre informazioni che possono consentire l’identificazione, anche indiretta, del soggetto interessato.

In tale contesto, dovranno essere tenute in considerazione le motivazioni addotte dal soggetto controinteressato, che dovrà essere obbligatoriamente interpellato. Tali motivazioni costituiscono un indice della sussistenza di un pregiudizio concreto, la cui valutazione però spetta all’ente e andrà condotta anche in caso di silenzio del controinteressato, tenendo, altresì, in considerazione gli altri elementi illustrati di seguito.

Ai fini della valutazione del pregiudizio concreto, andranno prese in considerazione le conseguenze – anche legate alla sfera morale, relazionale e sociale – che potrebbero derivare all’interessato (o ad altre persone alle quali esso è legato da un vincolo affettivo) dalla conoscibilità, da parte di chiunque, del dato o del documento richiesto.

Ad esempio, future azioni da parte di terzi nei confronti dell’interessato, o situazioni che potrebbero determinare l’estromissione o la discriminazione dello stesso individuo, oppure altri svantaggi personali e/o sociali, minacce, intimidazioni, ritorsioni o furti d’identità. Si pensi, ad esempio, all’indiscriminata circolazione delle firme autografe, dei dati contenuti nel cedolino dello stipendio che sono utili per accedere a prestiti e finanziamenti, oppure ad alcune informazioni contenute nelle dichiarazioni dei redditi che sono richieste ai fini del rilascio delle credenziali di accesso a servizi fiscali telematici quali la dichiarazione dei redditi precompilata. Le valutazioni dovranno essere prese in conformità alla disciplina legislativa in materia e nello specifico al GDPR.

Il dato personale secondo il GDPR

Art. 4, comma 1)  GDPR «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identifi­cativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

La presenza di dati particolari e/o giudiziari (Art. 9 e 10 del GDPR) in linea di principio dovranno portare al rifiuto dell’accesso generalizzato pur lasciando la valutazione, caso per caso, dove in circostanzi particolari quali, ad esempio, quelle in cui le predette informazioni siano state deliberatamente rese note dagli interessati, l’accesso potrebbe essere accettato.

La presenza di dati personali di soggetti minori, la cui conoscenza può ostacolare il libero sviluppo della loro personalità, in considerazione della particolare tutela dovuta alle fasce deboli dovrebbe comportare una particolare attenzione in fase di bilanciamento fra gli interessi di trasparenza e privacy.

Corrispondenza: libertà e segretezza 

L’accesso generalizzato sarà rifiutato se il diniego è necessario per evitare un pregiudizio concreto alla tutela della «libertà e la segretezza della corrispondenza» (art. 5, comma 2-bis, D.Lgs. 33/2013).

Si tratta di una esclusione diretta a garantire la libertà costituzionalmente tutelata dall’art. 15 Cost. che prevede espressamente come «La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili. La loro limitazione può avvenire soltanto per atto motivato dell’autorità giudiziaria con le garanzie stabilite dalla legge». Tale tutela si estende non solo alle persone fisiche, ma anche alle persone giuridiche, enti, associazioni, comitati ecc.

La nozione di corrispondenza comprende sia il contenuto del messaggio, che gli eventuali file allegati, nonché i dati esteriori della comunicazione, quali, ad esempio, l’identità del mittente e del destinatario, l’oggetto, l’ora e la data di spedizione. In questa valutazione, poiché nel contesto dello svolgimento delle attività amministrative e di pubblico interesse degli enti destinatari delle richieste di accesso generalizzato, l’utilizzo della corrispondenza (posta, e- mail, fax, ecc.) costituisce la modalità ordinaria di comunicazione, non solo tra i diversi enti, ma anche fra questi e i terzi, non si dovrà necessariamente escludere l’accesso a tutte queste comunicazioni ma soltanto a quelle che, secondo una verifica da operare caso per caso, abbiano effettivamente un carattere confidenziale e privato.

Tali caratteristiche, ad esempio, possono essere rinvenute nel caso in cui venga utilizzato l’indirizzo di posta elettronica individuale fornito al personale dall’ente presso il quale svolge la propria attività lavorativa, allorquando l’individualità dell’indirizzo e-mail attribuito al lavoratore e la sua veste esteriore, o altre circostanze del caso, possano essere ritenute tali da determinare una legittima aspettativa di confidenzialità – del mittente, del destinatario o di terzi – rispetto a talune forme di comunicazione (estranee o meno all’attività lavorativa).

Interessi economici e commerciali

L’accesso generalizzato sarà rifiutato se il diniego è necessario per evitare un pregiudizio concreto alla tutela degli interessi economici e commerciali di una persona fisica o giuridica, ivi compresi la proprietà intellettuale, il diritto d’autore e i segreti commerciali.

Il termine “proprietà intellettuale” indica un sistema di tutela giuridica – che si basa sul riconoscimento di diritti esclusivi – di beni immateriali, ossia le creazioni intellettuali, aventi anche rilevanza economica: si tratta dei frutti dell’attività creativa e inventiva umana come, ad esempio, le opere artistiche e letterarie, le invenzioni industriali e i modelli di utilità, il design, i marchi. Al concetto di proprietà intellettuale fanno capo le tre grandi aree del diritto d’autore, del diritto dei brevetti e del diritto dei marchi, questi ultimi ricompresi nel più ampio concetto di proprietà industriale.

Il diritto d’autore tutela le opere dell’ingegno di carattere creativo riguardanti le scienze, la letteratura, la musica, le arti figurative, l’architettura, il teatro, la cinematografia, la radiodiffusione e, da ultimo, i programmi per elaboratore e le banche dati, qualunque ne sia il modo o la forma di espressione.

I limiti a tutela di interessi pubblici

La disciplina dell’accesso civico generalizzato prevede la possibilità di rigettare l’istanza qualora il diniego sia necessario per evitare un pregiudizio concreto alla tutela di uno degli interessi pubblici elencati nel nuovo art. 5-bis, comma 1 del D.Lgs. 33/2013.

  • la sicurezza pubblica e l’ordine pubblico: L’esercizio delle funzioni di pubblica sicurezza e di tutela dell’ordine pubblico coinvolgono non solo l’apparato statale e i suoi organi periferici quali Autorità di Pubblica Sicurezza ma anche gli enti territoriali attraverso le autorità locali di pubblica sicurezza e di governo (art. 54 del TUEL).
  • la sicurezza nazionale;
  • la difesa e le questioni militari;
  • le relazioni internazionali;
  • la politica e la stabilità finanziaria ed economica dello Stato;
  • la conduzione di indagini sui reati e il loro perseguimento;
  • il regolare svolgimento di attività ispettive.

Accesso ai dati, le eccezioni

Al ricorrere delle eccezioni, le amministrazioni dovranno o potranno rifiutare l’accesso generalizzato. Le eccezioni assolute:

  • Segreto di Stato (L. 124/2007 art. 39.
  • Altri casi di segreto o di divieto di divulgazione sono fra gli altri il segreto statistico, il segreto bancario, il segreto scientifico e il segreto industriale, i pareri legali che attengono al diritto di difesa in un procedimento contenzioso (giudiziario, arbitrale o amministrativa).

Salvo che non sia possibile un accesso parziale, con oscuramento dei dati, alcuni divieti di divulgazione sono previsti dalla normativa vigente in materia di tutela della riservatezza con riferimento a:

  • dati idonei a rivelare lo stato di salute, ossia a qualsiasi informazione da cui si possa desumere, anche 
indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici (art. 7-bis, comma 6, D.Lgs. 33/2013).
  • dati idonei a rivelare la vita sessuale (art. 7-bis, comma 6, D.Lgs. 33/2013).
  • dati identificativi di persone fisiche beneficiarie di aiuti economici da cui è possibile ricavare 
informazioni relative allo stato di salute ovvero alla situazione di disagio economico-sociale degli interessati (limite alla pubblicazione previsto dall’art. 26, comma 4, D. Lgs. 33/2013)

Resta, in ogni caso, ferma la possibilità che i dati personali per i quali sia stato negato l’accesso generalizzato possano essere resi ostensibili al soggetto attraverso l’Accesso Documentale (L. 241/1990) il cui articolo 24 dispone:

  • ai divieti di divulgazione espressamente previsti dal regolamento governativo (art. 24 co.6 L. 241/1990) e dai regolamenti delle pubbliche amministrazioni (art. 24 co.2 L. 241/1990);
  • nei procedimenti tributari;
  • nei confronti dell’attività della pubblica amministrazione diretta all’emanazione di atti normativi, 
amministrativi generali, di pianificazione e di programmazione, alle particolari disposizioni che ne 
regolano la formazione
  • nei procedimenti selettivi, alle esclusioni dei documenti amministrativi contenenti informazioni di carattere psicoattitudinale relativi a terzi.

Infine esistono eccezioni assolute subordinate a discipline specifiche di settore quali ad esempio la disciplina sugli atti dello stato civile e quella sulle informazioni contenute nelle anagrafi della popolazione (artt. 33 ss. del d.P.R. n. 223/1989), elenchi dei contribuenti e alle relative dichiarazioni dei redditi (art. 69, comma 6, del d.P.R. n. 600/1973).

Tutti i punti della check list

La presenza di un solo SI nella check list dovrebbe portare al rigetto dell’istanza di accesso o comunque a una riflessione approfondita.

Eccezioni o limiti alla TrasparenzaSI
L’accesso è relativo a documento contenente dati personali?
La divulgazione di tali dati arreca pregiudizio all’interessato?
L’oscuramento dei dati rende comunque la persona identificabile?
Le motivazioni del controinteressato confermano il pregiudizio?
Sono presenti dati particolari o giudiziari?
Sono presenti dati di minori o soggetti deboli?
L’accesso viola la confidenzialità della corrispondenza?
L’accesso lede interessi economici e commerciali quali proprietà intellettuale, diritto d’autore o segreti commerciali?
Limiti alla tutela dell’interesse pubblico
Crea pregiudizio alla sicurezza e all’ordine pubblico?
Crea pregiudizio alla sicurezza nazionale?
Crea pregiudizio alla difesa e questioni militari?
Crea pregiudizio alle relazioni internazionali?
Crea pregiudizio allo Stato (politica, finanziaria economica)?
Crea pregiudizio alla conduzione di indagini sui reati?
Crea pregiudizio al regolare svolgimento di attività ispettive?
Eccezioni
E’ coperto da segreto di stato?
E’ coperto da altro segreto o divieto di divulgazione?
Può rilevare lo stato di salute o contenere dati sanitari?
Può rivelare la vita sessuale?
Può rivelare l’identità di beneficiari di aiuti economici?
Ci sono condizioni relative a specifiche discipline di settore?
È in contrasto con l’art. 24 L. 214/1990?

Focus sulla trasparenza

La ratio del nuovo Decreto Trasparenza è favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico sancendo un’accessibilità totale dei dati e dei documenti detenuti dalle P.A.

La trasparenza è condizione di garanzia delle libertà individuali e collettive, nonché dei diritti civili, politici e sociali, e integra il diritto ad una buona amministrazione e concorre alla realizzazione di una amministrazione aperta, al servizio del cittadino.

Anche nell’ordinamento dell’Unione Europea, soprattutto a seguito dell’entrata in vigore del Trattato di Lisbona (cfr. art. 15 TFUE e capo V della Carta dei diritti fondamentali) il diritto di accesso non è preordinato alla tutela di una propria posizione giuridica soggettiva, quindi non richiede la prova di un interesse specifico, ma risponde ad un principio generale di trasparenza.

Ne consegue il rovesciamento della precedente prospettiva che comportava l’attivazione del diritto di accesso civico solo strumentalmente all’adempimento degli obblighi di pubblicazione; ora è proprio la libertà di accedere ai dati e ai documenti, cui corrisponde una diversa versione dell’accesso civico, a divenire centrale nel nuovo sistema, in analogia al Freedom of Information Act (FOIA).

Il diritto di accesso è attivabile “da chiunque” e “non richiede motivazione”. I soggetti sui quali è attivabile l’accesso civico sono:

  • Pubbliche amministrazioni (D.Lgs. 165/2001)
  • Enti pubblici Enti pubblici economici, ordini professionali, società in controllo pubblico ed altri enti di diritto privato assimilati
  • Società in partecipazione pubblica ed altri enti di diritto privato assimilati, limitatamente ai dati e ai documenti inerenti all’attività di pubblico interesse

Per le categorie di soggetti di cui ai punti 2 e 3 il legislatore prevede che la disciplina della trasparenza si applichi “in quanto compatibile”. “L’istanza di accesso civico identifica i dati, le informazioni o i documenti richiesti”.

Le richieste non devono essere generiche, ma consentire l’individuazione del dato, del documento o dell’informazione, con riferimento, almeno, alla loro natura e al loro oggetto (Cfr. Parere C. di S. 18.2.2016, par. 11.3).

Il numero di documenti non deve essere manifestamente irragionevole imponendo così un carico di lavoro tale da paralizzare, in modo molto sostanziale, il buon funzionamento dell’amministrazione. la stessa può ponderare, da un lato, l’interesse dell’accesso del pubblico ai documenti e, dall’altro, il carico di lavoro che ne deriverebbe, al fine di salvaguardare l’efficienza operativa (cfr. CGUE, Tribunale Prima Sezione ampliata 13 aprile 2005 causa T 2/03).

L’amministrazione non ha l’obbligo di rielaborare i dati ai fini dell’accesso generalizzato, ma solo a consentire l’accesso ai documenti nei quali siano contenute le informazioni già detenute e gestite dall’amministrazione stessa.

Valutazione caso per caso

Ogni qualvolta vi è una richiesta di accesso l’amministrazione dovrà valutare, caso per caso, se sussistano eccezioni o limiti. Qualora vi siano degli interessi pubblici o privati, che possano essere lesi dalla comunicazione dei dati, l’amministrazione dovrà valutare un bilanciamento tra l’interesse pubblico alla disclosure generalizzata e la tutela di altrettanto validi interessi pubblici o privati di riservatezza considerati dall’ordinamento.

Relativamente all’interesse privato qualora l’accesso ai dati rilevi dati sanitari o condizioni relative allo stato di salute, dati relativi alla vita sessuale o l’identità di beneficiari di aiuti economici, questi saranno sempre da rigettare, poiché rientrano nelle eccezioni assolute al diritto di Trasparenza.

Qualora susseguano una serie di elementi lesivi degli interessi privati di una persona l’accesso potrebbe essere negato o reso in forma parziale.

DIGITAL EVENT 18 GIUGNO
Think Digital Summit: tecnologie e trend verso una nuova normalità
Cloud
Sicurezza

La check list fornita e una buona conoscenza della norma potrebbe aiutare nel processo di valutazione caso per caso, per negare o confermare la richiesta di accesso.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3